À quoi est-ce que je m'engage en lançant un audit Microsoft 365 ?

La question mérite d'être posée sérieusement. Un audit Microsoft 365, ça nécessite un accès à votre tenant — et cet accès, on ne l'accorde pas à n'importe qui, n'importe comment. Avant d'appuyer sur le bouton, autant comprendre ce qu'on fait vraiment.

Un audit, ça sert à quoi exactement ?

Un environnement Microsoft 365 accumule des risques silencieusement. Des comptes d'anciens collaborateurs jamais supprimés. Des licences payées chaque mois pour des utilisateurs qui ne se connectent plus. Des règles de transfert d'emails créées lors d'une compromission et jamais détectées. Des applications tierces autorisées il y a trois ans par un utilisateur qui a depuis quitté l'entreprise.

Aucun de ces problèmes ne déclenche d'alerte. Ils sont là, actifs, invisibles dans le quotidien. Un audit, c'est le moment où on arrête de supposer que tout va bien et où on regarde vraiment.

Ce qu'un audit révèle concrètement

Un audit M365 sérieux couvre plusieurs domaines. Sur les identités, il s'agit de vérifier qui a le MFA activé, qui dispose de droits admin, quels comptes sont inactifs depuis trop longtemps et si les protocoles d'authentification anciens sont toujours accessibles. Sur la messagerie, on regarde les enregistrements DNS anti-usurpation, les règles de transfert suspectes, les applications OAuth qui ont un accès permanent aux boîtes mail. Sur les appareils, la question est de savoir si les postes qui accèdent aux données de l'entreprise respectent les politiques de conformité définies. Sur Teams enfin, on vérifie l'exposition aux utilisateurs externes et les applications tierces autorisées.

Ce que révèle cet inventaire, c'est rarement une catastrophe — mais presque toujours des écarts entre ce qu'on croyait configuré et ce qui l'est réellement.

Ce que ça implique techniquement

Pour lire ces informations, un outil d'audit doit se connecter à votre tenant via l'API Microsoft Graph. Ce mécanisme passe par OAuth 2.0 — le même protocole que "Se connecter avec Google". Vous vous authentifiez directement sur les serveurs de Microsoft. L'outil reçoit un token d'accès temporaire, pas vos identifiants.

Les permissions demandées définissent précisément ce que l'outil peut faire. Un outil sérieux ne demande que des permissions en lecture seule — ce qui signifie qu'il peut lire des configurations, mais pas les modifier. Il ne peut pas créer d'utilisateurs, changer des politiques de sécurité, accéder au contenu des emails ou des fichiers.

Vérifier ces permissions avant d'accorder l'accès, c'est une bonne pratique. Elles sont listées explicitement par Microsoft lors du consentement OAuth. Si un outil demande des permissions d'écriture pour faire un audit de lecture, c'est un signal d'alerte.

Ce à quoi on s'engage vraiment

Techniquement, rien d'irréversible. Le consentement OAuth peut être révoqué à tout moment depuis le portail Entra, sans délai, sans intervention de l'outil tiers. L'accès est coupé immédiatement. La procédure prend moins d'une minute.

Commercialement, ça dépend de l'outil. Certains conditionnent l'affichage des résultats à la saisie d'un email — ce qui implique d'accepter d'être recontacté. D'autres facturent l'accès au rapport. D'autres encore revendent les données collectées à des fins marketing. Il vaut la peine de lire la politique de confidentialité avant de commencer.

Ce que ça implique avec AuditMS

AuditMS fonctionne en lecture seule. L'analyse s'effectue directement dans votre navigateur — les données de votre annuaire ne transitent pas par nos serveurs. Vous voyez les scores immédiatement, sans saisir d'email au préalable.

Si vous choisissez de remplir le formulaire de contact à la fin, vous transmettez vos coordonnées et acceptez d'être recontacté. Ces informations sont conservées sept jours puis supprimées automatiquement. C'est la seule chose qu'AuditMS conserve — et c'est la seule démarche qui vous engage au-delà de la session.